AUTO木马病毒变种分析及解决方案

日期: 2008-01-09 作者:谐和 来源:TechTarget中国

  病毒全名 Win32.Troj.AutoRun.te.v

  病毒长度 89280

  威胁级别 ★★

  中文名称 AUTO特务89280

  病毒类型 木马

  病毒介绍

  这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。

  病毒行为

  1.病毒运行后,生成以下病毒文件

      %temp%RarSFX0
  %windows%system32ComLSASS.EXE
  %windows%system32Comnetcfg.000
  %windows%system32Comnetcfg.dll
  %windows%system32ComSMSS.EXE
  %Local Settings%Temporary Internet FilesContent.IE5EC5UKR17r[1].htm
  %Local Settings%Temporary Internet FilesContent.IE5GR8I0NOHCAYNKA2Y.HTM

  2.在各盘中生成AUTO病毒,包括病毒文件pagefile.pif和autorun.inf辅助文件,都具有隐藏属性。

  3.病毒会修改注册表,使系统的隐藏功能失效,用户无法操控,只要具有隐藏属性的文件将无法显示。

  4.查看启动项,异常的发现启动项中许多系统启动项都被自动删除,包括毒霸的启动项。

  5.由于启动项被删除,再使用反间谍的隐蔽软件扫描,也就可以看到有两个隐蔽软件,分别是:"异常的autorun.inf"和"Broken SafeBoot",Broken SafeBoot很明显是破坏安全模式的,这样会使用户中了该病毒以后无法进入安全模式。

  6.该病毒还会引发ARP欺骗,导致在同一局域望网内的机器都有被欺骗的可能,明显的症状是:网络时常断开,会有病毒下载到总ARP的机器。

  清楚方案:

  1.彻底删除以下文件

      %temp%RarSFX0
  %windows%system32ComLSASS.EXE
  %windows%system32Comnetcfg.000
  %windows%system32Comnetcfg.dll
  %windows%system32ComSMSS.EXE
  %Local Settings%Temporary Internet FilesContent.IE5EC5UKR17r[1].htm
  %Local Settings%Temporary Internet FilesContent.IE5GR8I0NOHCAYNKA2Y.HTM

  2.重启电脑,清楚以上文件加载项。

  预防措施:

  1.AUTO类病毒,都是利用移动存储介质的自动播放功能传播的。强烈建议使用金山清理专家或毒霸禁用自动播放功能。

  2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞,防止病毒通过系统漏洞入侵。

  3.及时升级杀毒软件。

 

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

谐和
谐和

相关推荐

  • 从注册表切断一切黑客入侵的路径

    本文主要介绍如何通过修改注册表来对付病毒、木马、后门以及黑客程序,保证个人计算机的安全。

  • 常见的几种autorun类病毒查杀方法

    现在使用移动存储工具的人很多,但方便的同时就会存在危机。Autorun病毒是其中之一的常见病毒,本文为大家介绍了几种简单的删除Autorun病毒的方法……

  • 手工杀毒最靠谱 浅谈手工杀毒

    计算机安全中防护以及备份工作是最重要的。在病毒成功干扰杀毒软件之后,我们就要手工尽可能去排除干扰。一旦病毒进来了,难说病毒不会把杀毒软件先干掉……

  • “木马下载器” 新变种出现

    新华社天津3月7日电国家计算机病毒应急处理中心7日发布信息说,通过对互联网的监测发现,近期出现“木马下载器”新变种,提醒用户小心谨防……